ILE NB AA 


AST 
2013 至 今 ， 腾 讯 游 戏 业 务 安 全 部 技术 专家 
2005-2012 ， 趋 势 科技 染 构 师 


2005-2008， 开 友和 设计 PE JW BR TH 
2008-2012， 开 发 和 设计 脚本 漏洞 分 析 引 擎 
2013 to now， 开 发 和 设计 游戏 安全 通用 方案 


2011.8 Defcon 讲演 “ Chinese phishing at Defcon19”, Las Vegas 
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1. 外 挂 是 什么 
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CrossFire 透视 外 挂 


iad | 15 潜伏 者 
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CrossFire yj 
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注 : 为 了 适应 手 游 屏幕 特点 ， 手 游 上 的 外 挂 增加 了 射 续 
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INTERJ A fe E 


。 单机 游戏 ， CheatEngine/FPE 

”网 络 游戏 
一 脐 机 挂 (WPE/WireShark) 
一 加 速 / 倍 攻 (AUF ) 
-透视 | AA (Hook, 驱动 ) 
— NE; | ER 

* 1] LIE | NEIN 

© PISA 


日前 中 国 的 外 挂 行业 运作 模式 


网 盘 / 免 费 外 挂 
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Fh E Dx] DE Bes A a Aii 


RATO AUER VE WR Z 
EEE eK FP Se AA DT 

2 KIE Me AB AE EDZ 
60% TERE AC TE IE 


由 于 PUBG 的 影响 ，fps (ESE 
现在 非常 流行 
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FPS dif AXA'F MEH) ARA 


* PUBG 
・ 在 2108 年 ， 超 过 2700 款 外 挂 被 监控 到 
。 高 峰 期 每 天 超过 100 款 外 挂 进行 更 新 aes 
e 2018 年 大 约 有 60 球 以 上 的 FPS 生存 游戏 
。 上 所 有 的 游戏 都 发 现 有 外 挂 的 存在 

* APEX 
。 目 02-05 发 布 以 来 ，72 小 时 超过 1000 万 玩家 
。 已经 发 现 超 过 60 JFTETE SE 


PLAYERUNKNOWN:S 


Por. 
e'n + 1 “i i 
FA Ad 
A + 2 
È | í レ RA IEGADIUNOS 
\ É r” 
, 4 3 
ih 
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2. 外 挂 扩 林原 理 的 讨论 
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安全 领域 的 大 讨论 
e 软件 漏洞 


- 游戏 bug ， 复 制 金 币 
一 客户 疹 馆 辑 没 有 服务 需 验 证 
一 盗版 问题 
。 网络 安 全 
— RLA 
— DDOS 攻击 
。 服务 器 、 数 据 安 全 
一 AREA AZ 
— SQL 注入 / EI 
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和 Beale 
reer! TE Sw 
dl Witold 
” i A 
4 ro | | 
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131 ま こま た. 
Prem TM em te Mayport 


[ Cod 


ua: 
SS iOS ~ AR: 845,118,962,187 O 
== — (MM —— — ge 
出 售 HA (10) ú 


Nr OEST ae. 
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E Cheat Engine 6.2 


y y ym | 
HAE 000025£C-00.exe € 


— ht, Kh 怪物 等 等 rt 
文字 : 
E goiil 


扫描 类 型 | 搜索 文字 


| 区 分 大 小 写 
NEN YY 人 y Y Fi em 
© (ECB ARE ree sunn 
Li H 起 始 00000000 
= = i H 结束 TEELELEE 启用 速度 修改 
Mir RN SH AEE YA as 加 可 运行 
ua hie JE N I , = 动 i 作 写 入 时 复制 
BEE | O ewr 


扫描 时 暂停 游戏 


。 游戏 资 源 文 件 
— Fi / 弱 联 网 
一 本 地 效果 | 
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胸 机 挂 | 协议 模拟 


yN と — 


j ay Wit a; Edit View Go Ir Analyze 
ETT 
— UnReal Engine( U) 区 


-外 挂 工作 室 


AA 
。 WYF 
— Fiddle ーー 


b Address Re 


0000 fft f 
0010 08 00:56 04 00 Ol 00 Oc 29 
0020 00 00 00 00 00 00 co a8 39 


NY 
e | á Yf eth0: <live capture in p 


etho; Gaptunng -Wireshark 


Statistics Help 
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"| Expression... | 


を 


ys; 一 
ー - 


テー 
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ale 


Profile: Default 


en=0 


a=A MCC—1420 AT 
» 


针对 腾讯 游戏 的 DDOS 


° LOL: r 
— 当 对 局 要 输 时 DDOS 导致 服务 端 衣 Sr 
I = 


* OOCart: 
-海量 数据 包 寻 致 安全 包 解 析 失 败 


"灰色 产业 : = 
一 中 小 厂商 相互 攻击 = 
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NEID IR GE 
技术 点 


lol_kent2.0 免 费 版 


— SendMessage/SendInput/KdbClass 人 TT ON ~ SWEET 
- EIN Hi) mm lel_kent2 0 免费 版 = | i 


TH] FY) 状态 NL /> IE FEE > Al | ーー —_ i | 


声明 
匹配 模式 统治 战场 匹 西 ? PE MRE oR v Sm: 
1 


多 久 后 停止 挂机 小 時 


Y 
RENT a Te, 不 
用 IR 停止 挂机 后 是 否 关机 TH Br f Y HWN 
N T 二 = RT: ARCA Ra 
自动 瞄准 / 自动 开 枪 > a ee 
i 帮助 文档 LESS 4N 


份 游戏 设置 


de 机 脚 本 恢复 游戏 设置 | | Bl RE = In 


启动 F10 暂停 /继续 一- 中 止 F12 修改 热 键 保存 设置 | | 还 原 设置 
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同 歩 器 便 件 
dnf 工作 室 


TASTE HABEN 


RE RNA BT 

| 押 HOD Setfeature 进行 模拟 
< HE TIRAR MET 

| 


NERO: NOE 


TE: 可 以 在 淘宝 上 买 到 
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3. MAR RENT 


游戏 安全 的 特殊 性 


”玩家 
- 要 求 打击 
— 侥幸 心理 /协助 外 挂 


”游戏 开发 运营 
一 KPI 考核， 活跃 和 营 收 


> Tee 
= BEN 


INTEXT DL y mil 


Mh ti] FE 


— #5 | RAL as 


— BX 
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Seat 
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IE E = ! 将 录制 视频 举报 他 入 使 用 第 三 方 软件 
& — 击 % 

0 i Sil ! 《录制 时 间 约 为 1 分 钟 ) 

UA E Ms 

en IG + eal 

LAZIO: i 

Wn Rie 
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外 挂 对 抗 之 技术 侧 


・ 通用 栓 滑 
一 基础 保护 
一 样本 
一 举例 : EAC( Easy Anti-Cheat), BattleEye (at PUBG) 


:行为 检测 
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> 
VEE 


= 


有 反 调 试 / Ose | 代価? 


一 VMP 


ft Corporation 
f Corporation 


ft Corporation 
ft Corporation 


i” N, A | IE ==. | — 00 = 
JU SE dI ¡po : Sa o parere “| sna 


ft Corporation 
Microsoft Corporation 


一 基于 VT 的 保护 《腾讯 ) 


HE: 4 


TenProtect Conficential, Copyright @Tencent, 2019 


基于 样本 的 保护 


”样本 收集 渠道 
En, 可 疑 样本 
BE 收集 
・ 分析 系统 的 容量 
-RKMAL 
”样本 目 寻 的 加 密 变 形 
-特征 难于 提取 


。 外 网 特征 运营 的 安全 性 
-风险 不 可 控 


基于 行为 的 你 扩 
”游戏 数据 


一 通关 时 间 / 人物 属性 
— 坐标 


・ IETA 
-修改 点， 样本 
— HEMER 


LOL 坐标 


* CNN 
— 160*160, ResNet 


LSTM 坐标 序列 


图 片 CNN 99.80% 99% 98% 
LSTM 
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图 像 识 别 检 训 透 视 


1217F vati 


cxx 
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gslab.qq.com 
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